一 、前言

從上一篇關(guān)于 常見術(shù)語說明中，主要是對「IdentityServer4」的說明，以及其中涉及常見的術(shù)語的表述說明，包括對身份認(rèn)證服務(wù)器、用戶、客戶端、資源以及各個令牌等進行對比區(qū)別說明。

而在這一篇中，我們將嘗試通過簡單的方式來搭一個我們的IdentityServer授權(quán)服務(wù)器，熟悉IdentityServer4中搭建的流程以及將出現(xiàn)的問題。

二、 搭建

?

以下的項目示例都是基于IdentityServer4 「4.x」版本以上進行說明。

4.x版本較之前3.x的版本都有一些變更，在本例中，若發(fā)現(xiàn)與3.x版本有變更的一些地方，都會進行記錄說明。

?

2.1.創(chuàng)建項目

建立一個空的Asp.Net Core項目 ，使用Empty空模板

2.2.安裝配置

2.2.1. 安裝程序包

• 可通過命令行的方式

  ?

  NuGet>Install-Package IdentityServer4

  ?

• 通過包管理器方式

  ?

  添加IdentityServer4包

  ?

2.2.2. 配置管道

「修改Configure方法，注入到容器」

?app.UseIdentityServer();

2.2.3. 配置內(nèi)容

「將服務(wù)注入到容器后，還需要對IdentityServce進行配置內(nèi)容」

?

• 哪些API需要Authorization Server進行資源保護

• 哪些Client可以使用這個Authorization Server

• 哪些User可以被這個AuthorizationServer識別并授權(quán)

• 哪些資源可以指定作用域

?

這里方便演示，直接以靜態(tài)化的形式展示，實際開發(fā)應(yīng)用中，可結(jié)合數(shù)據(jù)庫或reidis緩存的數(shù)據(jù)持久化方式獲取。

建立配置內(nèi)容文件IdentityConfig.cs（具體的 OpenID Connect 配置信息來源文件）

????public?class?IdentityConfig{public?static?IEnumerable<IdentityResource>?IdentityResources?=>new?IdentityResource[]{new?IdentityResources.OpenId(),new?IdentityResources.Profile(),};///?<summary>///?Authorization?Server保護了哪些?API?Scope（作用域）///?</summary>///?<returns></returns>public?static?IEnumerable<ApiScope>?GetApiScopes(){return?new[]?{?new?ApiScope("ApiScope1",?"ApiScope2")?};}///?<summary>///?哪些客戶端?Client（應(yīng)用）?可以使用這個?Authorization?Server///?</summary>///?<returns></returns>public?static?IEnumerable<Client>?GetClients(){return?new[]{new?Client(){ClientId="YuanIdentity",?///客戶端的標(biāo)識，要是惟一的ClientSecrets=new?[]{new?Secret("6KGqzUx6nfZZp0a4NH2xenWSJQWAT8la".Sha256())},?客戶端密碼，進行了加密AllowedGrantTypes=?GrantTypes.ClientCredentials,?授權(quán)方式，這里采用的是客戶端認(rèn)證模式，只要ClientId，以及ClientSecrets正確即可訪問對應(yīng)的AllowedScopes里面的api資源AllowedScopes=new[]{"ApiScope1"?},?//定義這個客戶端可以訪問的APi資源數(shù)組，上面只有一個api}};}///?<summary>///?哪些User可以被這個AuthorizationServer識別并授權(quán)///?</summary>///?<returns></returns>public?static?IEnumerable<TestUser>?GetTestUsers(){return?new[]{new?TestUser{SubjectId="001",Username="i3yuan",Password="123456"}};}} ?

「注意，如果你的代碼沒問題，但是依然報錯，比如“無效的scope”等，就可能是nuget包版本問題」

在3.1.x 到 4.x 的變更中，ApiResource 的 Scope 正式獨立出來為 ApiScope 對象，區(qū)別ApiResource 和 Scope的關(guān)系, Scope 是屬于ApiResource 的一個屬性，可以包含多個Scope。

所以

在3.x版本中

?public?static?IEnumerable<ApiResource>?GetApiResources(){return?new[]?{?new?ApiResource("ApiScope1",?"ApiScope2")?};}

改成4.x版本為

public?static?IEnumerable<ApiScope>?GetApiScopes() {return?new[]?{?new?ApiScope("ApiScope1",?"ApiScope2")?}; } ?

2.2.4. 添加配置服務(wù)

「在Startup.cs文件，ConfigureServices方法中」

????????public?void?ConfigureServices(IServiceCollection?services){services.AddMvc();services.AddIdentityServer().AddDeveloperSigningCredential().AddTestUsers(IdentityConfig.GetTestUsers().ToList()).AddInMemoryClients(IdentityConfig.GetClients()).AddInMemoryApiScopes(IdentityConfig.GetApiScopes());services.AddControllers();} ?

「1. ?在學(xué)習(xí) IdentityServer4 時熟悉的 InMemory 來說，AddInMemoryApiResources 變?yōu)榱?AddInMemoryApiScopes ?這個 ApiScope」

「2. ?我們現(xiàn)在是本地調(diào)試，可以告訴identity server4在程序的運行時候?qū)@項工作進行設(shè)定: AddDeveloperSigningCredential()，它默認(rèn)會存到硬盤上的， 所以每次重啟服務(wù)不會破壞開發(fā)時的數(shù)據(jù)同步。這個方法只適合用于identity server4在單個機器運行， 如果是 production 你得使用AddSigningCredential()這個方法」

?

以上操作完成后， 啟動項目，通過它的 .well-known 端點來訪問服務(wù)器的配置信息，在瀏覽器的地址欄中，輸入地址：http://localhost:5050/.well-known/openid-configuration，并回車。應(yīng)該可以看到如下的響應(yīng)信息。

2.3. 獲取token

2.3.1. 啟動項目

2.3.2. 測試訪問地址

?

http://localhost:5050/connect/token

?

body參數(shù) application/x-www-form-urlencoded (post)

2.3.3. Access_Token

?

「需要對token進行簽名， 這意味著 identity server 需要一對public和private key。同時也是可以由上圖的解析發(fā)現(xiàn)是需要一對公私key的。」

?

三、UI界面

考慮IdentityServer4需要進行管理查看，添加頁面管理界面

官方為我們提供了一個快速啟動的UI界面，我們只需要下載下來即可，這里有兩個方法：

3.1. QuickStart UI界面

1、直接從這個地址下來下載，拷貝到項目中，一共三個文件夾；// https://github.com/IdentityServer/IdentityServer4.Quickstart.UI2、在當(dāng)前文件夾中執(zhí)行命令，自動下載；iex?((New-Object?System.Net.WebClient).DownloadString('https://raw.githubusercontent.com/IdentityServer/IdentityServer4.Quickstart.UI/master/getmaster.ps1'))

3.2. 默認(rèn)目錄

下載完官方提供的默認(rèn)UI界面后，會提供默認(rèn)的三個目錄文件夾分別為：Quickstart (控制器方法)、Views(視圖)、wwwroot (靜態(tài)文件)

3.3. 修改配置

配置中間件來使用靜態(tài)文件：

app.UseStaticFiles();

四、運行

運行展示效果，啟動默認(rèn)的地址如下：

?

http://localhost:5050

?

運行項目后，可以發(fā)現(xiàn)啟動默認(rèn)的歡迎界面，看到對應(yīng)的項目版本，我們這里用的是最新的IdentityServer4版本為4.1.1 ，以及點擊 「discovery document」，可以看到了我們上邊說到的 token 獲取的接口地址 ，其中對應(yīng)的端點地址信息。

?

「通過它的 .well-known 端點來訪問服務(wù)器的配置信息，在瀏覽器的地址欄中，輸入地址：http://localhost:5050/.well-known/openid-configuration，并回車,可以看到對應(yīng)的響應(yīng)信息。」

?

五、模板

在上文中，我們通過手動搭建的方式，從一個空模板的搭建，到引用對應(yīng)的Nuget包，安裝修改配置，并搭配了官方提供的UI界面，初步形成了一個簡易的IdentityServer4初始化項目框架，這種一步步的構(gòu)建項目的方式。

官方也給我們提供了對應(yīng)的快捷創(chuàng)建項目的模板，所以，如果你不想創(chuàng)建MVC項目，可以用官方提供的模板方式進行創(chuàng)建初始化項目。

5.1. 安裝模板

dotnet?new?-i?IdentityServer4.Templates

在命令的輸出中，可以看到已經(jīng)安裝了多個關(guān)于 IdentityServer4 的模版

模板簡稱說明

IdentityServer4 with AdminUI	is4admin	這為用戶、身份、客戶端和資源提供了一個基于web的管理界面.該社區(qū)版本旨在測試IdentityServer集成場景，并且僅限于本地主機：5000、SQLite、10個用戶和2個客戶端。社區(qū)版不適合生產(chǎn)應(yīng)用。
IdentityServer4 with ASP.NET Core Identity	is4aspid	添加使用ASP.NET標(biāo)識進行用戶管理的基本IdentityServer。如果您自動啟動數(shù)據(jù)庫，您將得到兩個用戶：Alice和bob--都帶有密碼Pass123$。檢查SeedData.cs文件。
IdentityServer4 Empty	is4empty	在沒有UI的情況下創(chuàng)建一個最小的IdentityServer4項目。
IdentityServer4 with Entity Framework Stores	is4ef	添加使用實體框架進行配置和狀態(tài)管理的基本IdghtyServer。如果您啟動數(shù)據(jù)庫，您將獲得一些基本的客戶端和資源注冊，請檢查SeedData.cs文件。
IdentityServer4 with In-Memory Stores and Test Users	is4inmem	添加具有UI、測試用戶和示例客戶端和資源的基本IdentityServer。顯示內(nèi)存中的代碼和JSON配置。
IdentityServer4 Quickstart UI (UI assets only)	is4ui	將快速啟動UI添加到當(dāng)前項目(例如，可以在is4empty的基礎(chǔ)上添加)

5.2. 選擇項目

這里面最為簡單的項目模版就是 IdentityServer4 with In-Memory Stores and Test Users 了，它簡稱為 is4inmem ，我們下面就使用它來創(chuàng)建項目。

dotnet?new?模板名?-n?項目名稱

5.3. 啟動應(yīng)用

啟動項目后，

可以看到項目的效果跟我們之前一步步搭建的效果是一樣的，這說明我們已經(jīng)創(chuàng)建了第一個可運行的 IdentityServer4 服務(wù)器了。

六、說明

6.1. HS256與RS256

JWT簽名算法中，一般有兩個選擇，一個采用HS256,另外一個就是采用RS256。

?

「簽名實際上是一個加密的過程，生成一段標(biāo)識（也是JWT的一部分）作為接收方驗證信息是否被篡改的依據(jù)。」

?

「HS256」 使用密鑰生成「固定的簽名」，簡單地說，HS256 必須與任何想要驗證 JWT的 客戶端或 API 「共享密鑰」，因此必須注意確保密鑰不被泄露。

「RS256」 生成「非對稱簽名」，這意味著必須使用私鑰來簽簽名 JWT，并且必須使用對應(yīng)的公鑰來驗證簽名。與對稱算法不同，使用 RS256 可以保證服務(wù)端是 JWT 的簽名者，因為服務(wù)端是唯一擁有私鑰的一方。這樣做將不再需要在許多應(yīng)用程序之間共享私鑰。

因此，在開發(fā)應(yīng)用的時候啟用JWT時候，使用RS256更加安全，你可以控制誰能使用什么類型的密鑰。同時可以讓服務(wù)端是唯一擁有私鑰的一方，不需共享私鑰。

6.2 關(guān)于證書

生產(chǎn)環(huán)境（負(fù)載集群）一般需要使用固定的證書簽名與驗簽,以確保重啟服務(wù)端或負(fù)載的時候 Token 都能驗簽通過。（不使用臨時證書）

6.2.1 創(chuàng)建證書

#生成私鑰文件 openssl?genrsa?-out?idsrv4.key?2048 #創(chuàng)建證書簽名請求文件 CSR（Certificate Signing Request），用于提交給證書頒發(fā)機構(gòu)（即 Certification Authority (CA)）即對證書簽名，申請一個數(shù)字證書。 openssl?req?-new?-key?idsrv4.key?-out?idsrv4.csr #生成自簽名證書（證書頒發(fā)機構(gòu)（CA）簽名后的證書，因為自己做測試那么證書的申請機構(gòu)和頒發(fā)機構(gòu)都是自己,crt 證書包含持有人的信息，持有人的公鑰，以及簽署者的簽名等信息。當(dāng)用戶安裝了證書之后，便意味著信任了這份證書，同時擁有了其中的公鑰。） openssl?x509?-req?-days?365?-in?idsrv4.csr?-signkey?idsrv4.key?-out?idsrv4.crt #自簽名證書與私匙合并成一個文件 openssl?pkcs12?-export?-in?idsrv4.crt?-inkey?idsrv4.key?-out?idsrv4.pfx或 openssl?req?-newkey?rsa:2048?-nodes?-keyout?idsrv4.key?-x509?-days?365?-out?idsrv4.cer openssl?pkcs12?-export?-in?idsrv4.cer?-inkey?idsrv4.key?-out?idsrv4.pfx

中途提示讓你輸入Export Password,這個password后面會用到。

6.2.2 項目配置

拷貝生成的證書，放到認(rèn)證/授權(quán)服務(wù)器項目中。(VS中配置文件設(shè)置文件始終復(fù)制)，最后把證書路徑和密碼配置到 IdentityServer 中，因為我們自簽名的證書是 PKCS12 (個人數(shù)字證書標(biāo)準(zhǔn)，Public Key Cryptography Standards #12) 標(biāo)準(zhǔn)包含私鑰與公鑰）標(biāo)準(zhǔn)，包含了公鑰和私鑰。

A、在appsetting.json 配置文件中添加如下：此處需要配置password，即生成證書的時候輸入的密碼。

{"Certificates":?{"CerPath":?"certificate\\idsrv4.pfx","Password":?"P@ssw0rd"} }?

B、在starup.cs中ConfigureServices方法中配置如下即可。

var?basePath?=?PlatformServices.Default.Application.ApplicationBasePath; services.AddIdentityServer().AddSigningCredential(new?X509Certificate2( Path.Combine(basePath,Configuration["Certificates:CerPath"]), Configuration["Certificates:Password"]) )

C、配置完后即可。我們啟動IDS4項目即可生成加密的token。

6.2.3 提取補充

OpenSSL 提取 pfx 證書公鑰與私鑰

提取pfx證書公鑰和私鑰 從pfx證書中提取密鑰信息，并轉(zhuǎn)換為key格式（pfx使用pkcs12模式補足） 1.?提取密鑰對(如果pfx證書已加密，會提示輸入密碼) openssl?pkcs12?-in?idsrv4.pfx?-nocerts?-nodes?-out?idsrv4.key 2.?從密鑰對提取公鑰 openssl?rsa?-in?idsrv4.key?-pubout?-out?idsrv4_pub.key 3.?從密鑰對提取私鑰 openssl?rsa?-in??idsrv4.key?-out?idsrv4_pri.key 4.?因為RSA算法使用的是?pkcs8?模式補足，需要對提取的私鑰進一步處理得到最終私鑰 openssl?pkcs8?-topk8?-inform?PEM?-in?idsrv4_pri.key?-outform?PEM?-nocrypt ?

「注意：」

將得到的token在jwt.io 網(wǎng)站來認(rèn)證一下,需要將 crt 公鑰、key私鑰復(fù)制到驗證中，發(fā)現(xiàn)認(rèn)證ok,則說明實現(xiàn)防篡改。

后綴為crt公鑰需要帶著 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----- 一起復(fù)制。后綴為key私鑰私鑰需要帶著 -----BEGIN RSA PRIVATE KEY----- 和 -----END RSA PRIVATE KEY----- 一起復(fù)制。

?

七、總結(jié)

在本篇中我們通過手動或者官方模板的方式簡易的實現(xiàn)了我們的IdentityServer授權(quán)服務(wù)器搭建，并做了相應(yīng)的配置和UI配置，實現(xiàn)了獲取Token方式。

對于相應(yīng)的配置我們需要注意的三個點就是，有哪些用戶(users)可以通過哪些客戶端(clents)來訪問我們的哪些API保護資源 (API)。

在后續(xù)會對其中的授權(quán)模式，數(shù)據(jù)庫持久化問題，以及如何應(yīng)用在API資源服務(wù)器中和配置在客戶端中，會進一步說明。

如果有不對的或不理解的地方，希望大家可以多多指正，提出問題，一起討論,不斷學(xué)習(xí),共同進步。

項目地址?

https://github.com/i3yuan/Yuan.IdentityServer4.Demo?

八、資料

IdentityServer4官方文檔

IdentiytServer4模板

IdentityServer4界面

總結(jié)

以上是生活随笔為你收集整理的IdentityServer4系列 | 快速搭建简易项目的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。